Làm cách nào để trích xuất Root CA và CA cấp dưới từ chuỗi chứng chỉ trong Linux?

Tôi có chứng chỉ end-entity / server có chứng chỉ trung gian và root. Khi tôi cattrên chứng chỉ thực thể cuối, tôi chỉ thấy một BEGINvàEND thẻ thẻ. Nó là chứng chỉ thực thể cuối cùng.

Có cách nào tôi có thể xem nội dung chứng chỉ trung gian và gốc. Tôi chỉ cần nội dung BEGINvà ENDthẻ.

Trong Windows, tôi có thể thấy chuỗi chứng chỉ đầy đủ từ "Đường dẫn chứng nhận". Dưới đây là ví dụ cho chứng chỉ của Stack Exchange.

Từ đó tôi có thể thực hiện Chứng chỉ Xem và xuất chúng. Tôi có thể làm điều đó cho cả root và trung gian trong Windows. Tôi đang tìm kiếm phương pháp tương tự trong Linux.

Từ một trang web, bạn có thể làm:

openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null

Điều đó sẽ hiển thị chuỗi chứng chỉ và tất cả các chứng chỉ mà máy chủ đã trình bày.

Bây giờ, nếu tôi lưu hai chứng chỉ đó vào tệp, tôi có thể sử dụng openssl verify:

$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt 
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA

Các -untrustedtùy chọn được sử dụng để cung cấp cho các chứng chỉ trung gian (s); se.crtlà giấy chứng nhận để xác minh. Độ sâu = 2 kết quả đến từ cửa hàng CA đáng tin cậy của hệ thống.

Nếu bạn không có (các) chứng chỉ trung gian, bạn không thể thực hiện xác minh. Đó chỉ là cách X.509 hoạt động.

Tùy thuộc vào chứng chỉ, nó có thể chứa URI để lấy trung gian. Ví dụ, openssl x509 -in se.crt -noout -textchứa:

        Authority Information Access: 
            OCSP - URI:http://ocsp.digicert.com
            CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt

URI "Nhà phát hành CA" đó trỏ đến chứng chỉ trung gian (ở định dạng DER, vì vậy bạn cần sử dụng openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pem để chuyển đổi nó để sử dụng thêm bởi OpenSSL).

Nếu bạn chạy openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hashbạn nhận được 244b5494, cái mà bạn có thể tìm kiếm trong cửa hàng CA gốc của hệ thống tại /etc/ssl/certs/244b5494.0(chỉ cần thêm .0vào tên).

Tôi không nghĩ rằng có một lệnh OpenSSL dễ dàng, tốt đẹp để làm tất cả điều đó cho bạn.

tl; dr - một phép thuật bash lót để đổ tất cả các certs trong chuỗi

openssl s_client -showcerts -verify 5 -connect de.wikipedia.org:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}' && for cert in *.crt; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done

Giải thích trong 2 bước

Để đổ tất cả các certs trong chuỗi vào thư mục hiện tại như cert${chain_number}.pem:

openssl s_client -showcerts -verify 5 -connect your_host:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}' 

phần thưởng theo dõi để đổi tên chúng thành tên chung của chúng:

for cert in *.pem; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done